.png)
Pourquoi la détection des menaces a besoin de la segmentation "zéro confiance" ?
Cet article a été publié à l'origine sur channelfutures.com.
Au cours de la dernière décennie, la cybersécurité est devenue infiniment plus complexe. C'est pourquoi de nombreuses organisations se sont tournées vers des fournisseurs de services de sécurité gérés (MSSP) pour les aider à se protéger. Jusqu'à présent, ils se sont presque entièrement concentrés sur la détection et la réponse aux menaces, mais cette décision a eu des conséquences négatives involontaires.
Pour la plupart des organisations - qu'elles soient commerciales, à but non lucratif ou du secteur public - la cybersécurité n'est pas une compétence essentielle. C'est la raison pour laquelle de nombreuses entreprises ont confié tout ou partie de ces tâches à un MSSP. Et cette externalisation ne concerne pas seulement les opérations de sécurité, mais souvent l'ensemble de la fonction de cybersécurité, y compris les achats et la planification stratégique.
Lorsque le client d'un MSSP est victime d'une faille de sécurité très médiatisée, comme une attaque généralisée de ransomware, les conversations qui s'ensuivent ne sont pas agréables. La raison pour laquelle une entreprise confie sa fonction de sécurité à un MSSP est d'éviter ces résultats, ainsi que la publicité, les coûts et les dommages à la marque qui en découlent.
L'IA : une panacée ou un outil qui a besoin d'aide ?
De nombreux fournisseurs ont convaincu les organisations que la réponse à leurs prières était la détection des menaces basée sur l'IA. On leur a fait croire qu'en dépensant suffisamment d'argent pour l'IA, ils parviendraient à attraper les attaquants les plus sournois. Ils se sont lancés dans une détection basée sur l'IA, mais les résultats qu'ils attendaient ne se sont pas concrétisés. Elles n'ont pas eu lieu.
Si je reconnais que la détection des menaces basée sur l'IA constitue une avancée majeure pour notre secteur, elle a besoin d'une certaine assistance pour mener à bien sa mission. C'est là qu'intervient la segmentation "zéro confiance".
Si vous pré-segmentez le réseau avant de partir à la chasse aux menaces, la tâche de détection - qu'elle soit assistée par l'IA ou non - devient beaucoup plus simple et rapide. Vous réduisez la taille de la surface d'attaque où vous devez rechercher des menaces. La segmentation préemptive élimine un grand nombre de voies qui permettraient aux attaquants de se déplacer latéralement dans le réseau interne.
La métaphore que j'utilise est la suivante : au lieu de chercher une aiguille dans une grande et complexe botte de foin, vous créez de nombreuses micro-bottes de foin. Vos outils peuvent alors examiner ces micro-bottes de foin en parallèle, ce qui vous permet de trouver l'aiguille beaucoup plus rapidement.
Ce qu'un navire peut nous apprendre sur la segmentation
Il y a des années, lors de ma première affectation en service actif en tant qu'aspirant de la marine américaine, j'ai embarqué à bord de l'USS McCloy, dont la mission principale était de chasser, de détecter et de dissuader les sous-marins ennemis au large des côtes américaines. Je venais de terminer ma première année d'université en génie électrique et je m'entraînais pour devenir officier dans la marine américaine. J'avais hâte de découvrir la technologie sophistiquée de détection des sous-marins ennemis de la marine et de rencontrer les membres de l'équipe d'élite de détection des menaces du McCloy.
Imaginez donc ma surprise le premier jour, lorsqu'on m'a remis des clés et des tournevis, que j'ai été jumelé à un autre membre de l'équipage et qu'on m'a confié la tâche de m'assurer que la trentaine d'écoutilles en acier "" (aussi appelées portes) du McCloy étaient en bon état. Et si ce n'est pas le cas, d'effectuer les réparations nécessaires. Tant pis si j'aide mes camarades de bord à traquer des adversaires malveillants !
Tout en poursuivant ma mission, j'ai pensé à l'expression "batten down the hatches." Elle a vu le jour au19e siècle lorsque, à l'approche d'une grosse tempête ou d'un autre risque de voie d'eau, les capitaines de navire ordonnaient à leur équipage de fermer toutes les portes du navire et de les barricader à l'aide de tiges de bois ou de lattes ( ")." Aujourd'hui, cette phrase est une métaphore de la sagesse qui consiste à prendre des mesures immédiates et décisives dès l'apparition d'un risque majeur.
Je me suis rendu compte que tous les experts du McCloy en matière de technologie d'élite et de chasse aux menaces risquaient d'échouer dans leur mission si les trappes du McCloy n'étaient pas là pour les protéger. Grâce à l'architecture de segmentation intégrée du McCloy et au bon fonctionnement des écoutilles, une brèche dans la coque n'entraînerait pas une propagation latérale de l'eau d'un couloir à l'autre et d'une pièce à l'autre, ce qui coulerait le navire.
L'équivalent cybernétique de la fermeture des écoutilles
Dans le film de 1990 "The Hunt for Red October," le Red October était un sous-marin russe doté de la technologie de détection et d'évitement la plus avancée. Dans l'équivalent cybernétique d'aujourd'hui, nous ne sommes pas à la recherche de sous-marins insaisissables, mais de cyberadversaires de plus en plus furtifs et sophistiqués dans les réseaux électroniques.
Les chasseurs de cybermenaces doivent segmenter leurs réseaux à l'aide de trappes électroniques "" pour empêcher le déplacement latéral des intrusions. En cas de brèche dans votre réseau, vous ne voulez pas que des logiciels malveillants ou des rançongiciels se propagent. C'est pourquoi vous devez diviser le réseau en compartiments individuels qui fonctionnent comme des barrières.
La segmentation est un outil de sécurité, en plus de la détection et de la réponse gérées (MDR), que les MSSP peuvent offrir en tant que service, Zero Trust Segmentation as a service.
Dans mon prochain blog, j'expliquerai plus en détail pourquoi la segmentation (et, plus précisément, la segmentation basée sur l'hôte) est un complément parfait à une détection et une réponse gérées et robustes. Ce n'est pas seulement bon pour les clients du MSSP, mais aussi pour le MSSP.
.webp)
